Pesquisadores da Unidade 42 (Palo Alto Networks) identificaram o grupo Jingle Thief, especializado em invadir ambientes de nuvem de grandes varejistas e empresas de serviços para emitir e monetizar cartões-presente indevidos. O método é baseado na captura de credenciais (phishing/smishing), movimentação lateral em Microsoft 365 e uso abusivo de identidade — não malware — o que torna as campanhas discretas e duradouras.
O que aconteceu
O Jingle Thief tem atacado provedores de vales-presente usando técnicas de engenharia social para roubar credenciais e obter acesso a fluxos de trabalho de emissão. Depois de conseguir acesso, o grupo emite cartões de alto valor e os revende em mercados paralelos, convertendo-os em dinheiro rapidamente. A Unit 42 rastreou campanhas coordenadas, com casos em que o invasor permaneceu na rede por meses — até mais de 10 meses em uma campanha — e comprometeu dezenas de contas em uma mesma organização.
Como o Jingle Thief opera (passo a passo)
- Reconhecimento inicial: mapeamento de serviços em nuvem e usuários-alvo.
- Phishing / Smishing: envio de páginas falsas para capturar credenciais Microsoft 365.
- Acesso e reconhecimento adicional: exploração do SharePoint/OneDrive em busca de documentos, fluxos de trabalho e guias operacionais relacionados a vales-presente.
- Movimentação lateral e persistência: criação de regras de encaminhamento, envio de phishing interno e registro de aplicações autenticadoras para contornar MFA.
- Emissão e monetização: emissão de cartões-presente de alto valor, minimização de logs forenses e revenda em mercados paralelos.
Táticas de evasão que dificultam a detecção
- Uso de identidade e abuso de tokens em vez de malware;
- Registro de autenticadores e dispositivos no Entra ID para manter acesso após mudanças de senha;
- Criação de regras de caixa de entrada para ocultar comunicação maliciosa;
- Uso de documentos internos para criar spear-phishing altamente convincente.
Por que cartões-presente são alvo tão lucrativo
- Podem ser resgatados com pouca informação pessoal;
- São fáceis de transferir e revender;
- Têm rastreabilidade limitada, dificultando atribuição e recuperação de perdas.
Recomendações práticas para reduzir risco (checklist para equipes de segurança)
- Revisar e endurecer políticas de MFA: bloquear métodos que possam ser registrados sem validação forte;
- Monitorar e alertar para registros de aplicativos não usuais no Entra ID / Azure AD;
- Auditar e restringir permissões de emissão de vales-presente e separar funções (segregação de tarefas);
- Habilitar detecção e resposta a configurações de encaminhamento de e-mail e regras automáticas;
- Proteger SharePoint/OneDrive com DLP, políticas de acesso condicional e monitoramento de downloads de documentos sensíveis;
- Treinamento contínuo contra phishing/smishing para equipes com acesso a fluxos financeiros;
- Implementar revisão periódica de contas de serviço, sessões e tokens ativos;
- Planejar playbooks de resposta a incidentes focados em fraudes com vales-presente (contenção, rastreio e comunicação com parceiros de pagamento).
Checklist rápido para times de TI / Segurança
- Forçar MFA forte e bloquear métodos recuperáveis automaticamente.
- Auditar logs de emissão de cartões e gerar alertas por emissões atípicas.
- Rever e restringir permissões de acesso a fluxos de emissão.
- Monitorar criação de aplicações e dispositivos no Entra ID.
- Habilitar DLP e classificação de documentos em SharePoint/OneDrive.
- Simular phishing interno e treinar respostas.
Conclusão
O Jingle Thief prova que a combinação de engenharia social, abuso de identidade em nuvem e processos operacionais fracos pode resultar em perdas financeiras significativas. A defesa exige controles técnicos (MFA, monitoramento de identidade, DLP) e processos organizacionais (segregação de funções, revisão de permissões e conscientização). Fraudes com cartões-presente são rápidas e discretas — por isso a prevenção e a detecção precoce são essenciais.
